Django ha lanzado una actualización de seguridad para corregir una vulnerabilidad de severidad alta. Esta vulnerabilidad podría permitir la manipulación de datos o la divulgación de información.
Productos afectados
- Django main
- Django 5.2, versiones anteriores a 5.2.6
- Django 5.1, versiones anteriores a 5.1.12
- Django 4.2, versiones anteriores a 4.2.24
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-57833: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de SQL en los alias de las columnas, mediante el uso de un diccionario especialmente diseñado y su expansión como los argumentos de palabra clave (**kwargs) que se pasan a QuerySet.annotate() o QuerySet.alias(). Un actor malicioso podría explotar esta vulnerabilidad para lograr la manipulación de datos o la divulgación de información.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-57833
- https://www.djangoproject.com/weblog/2025/sep/03/security-releases/